Comment les hackers russes ont pénétré SolarWinds ? Pas à cause du stagiaire, admet enfin le CEO
5 mois après avoir réalisé qu'il était le point de départ d'une des plus grandes opérations de cyberespionnage du 21e siècle, SolarWinds n'a toujours pas terminé son enquête interne.
À l'occasion d'une prise de parole lors la conférence RSA rapportée par The Record Media le 19 mai, le CEO Sudhakar Ramakrishna s'est excusé pour la façon dont l'entreprise a blâmé un stagiaire pour l'incident. Interrogés par le Congrès américain en février, le CEO et son prédécesseur avaient attribué à l'employé précaire l'histoire de la fuite d'un mot de passe -- « solarwinds123 » -- qui aurait pu donner accès à des serveurs internes de l'entreprise. Comme nous l'avions détaillé à l'époque, le récit de cet incident paraissait confus, tant chronologiquement que dans son rapport avec l'affaire de cyberespionnage. « Ce qui s'est passé à l'audition au Congrès où nous avons attribué l'erreur à un stagiaire était inapproprié et ne correspond pas à nos valeurs », a déclaré Ramakrishna.
On ne sait toujours pas comment les hackers ont pénétré SolarWinds
La piste ridicule de la boulette du stagiaire étant écartée, l'éditeur de logiciel a réduit son enquête à trois hypothèses. Les hackers pourraient avoir :
Exploité une vulnérabilité zero-day (c'est-à-dire inconnue et donc sans correctif) dans une application ou un appareil tiers, afin de s'introduire sur le réseau.
Deviné le mot de passe d'un compte administrateur grâce à une attaque de « brute-force » (essais répétés de plusieurs mots de passe plausibles) sur plusieurs comptes.
Récupéré les identifiants grâce à « un phishing très sophistiqué » contre un employé de SolarWinds.
Pour rappel, SolarWinds avait envoyé la mise à jour infectée du logiciel Orion à 18 000 de ses clients. Le malware ouvrait une porte sur le réseau des victimes, que les hackers pouvaient activer manuellement à distance. En dehors du gouvernement américain et de quelques entreprises de sécurité (Malwarebytes, FireEye, Microsoft, ou encore, bien plus tard, l'Union européenne), peu de victimes se sont déclarées publiquement. D'après l'enquête interne, leur nombre serait « inférieur à 100 », un bilan similaire aux premières estimations des recherches externes.
Sudhakar Ramakrishna a aussi indiqué à la conférence RSA que les hackers auraient débuté leur opération de reconnaissance au sein du réseau de SolarWinds dès janvier 2019. Jusqu'ici, on savait seulement qu'ils avaient lancé des premières manipulations de test en septembre 2019, plus de 6 mois avant le déploiement de la véritable cyberattaque, et 1 an avant sa découverte. Ce détail est encore un signe supplémentaire de l'extrême discrétion des hackers. Ils ont longuement étudié leur cible avant de passer à l'action, et ils l'ont infiltrée progressivement.
La Maison-Blanche a officiellement accusé le SVR, une branche du renseignement russe, d'avoir piloté l'opération, ce qui explique la sophistication de la cyberattaque. Malgré une escalade diplomatique entre les États-Unis et la Russie, le gouvernement de Vladimir Poutine continue de nier toute implication. Interrogé par la BBC début mai, le chef du SVR Sergei Naryshkin a balayé l'attribution de l'attaque non sans sarcasme : « je ne peux pas réclamer des réussites aussi créatives si elles ne sont pas les miennes ». Pour lui, la cyberattaque viendrait de l'ouest, plus précisément de la Grande-Bretagne ou des États-Unis eux-mêmes. Son hypothèse n'est appuyée d'aucune preuve, alors que plusieurs rapports publics comme privés insistent sur le lien des hackers avec la Russie.